服务只在二级目录下,且二级目录用随机字符串,只有访问二级目录才可以打开,其它访问直接 abort
原理就是二级目录在 https 整个交互过程中都是加密的,无论是抓包、爱快、ROS 、运营商都无法获取这个二级目录,除非证书劫持
以下可访问,这个 aaa,bbb,ccc 就是我自定义的二级目录
https://example.com/aaa
https://example.com/bbb
https://example.com/ccc
其它不存在的二级目录,直接 abort
https://example.com
https://example.com/a
https://example.com/abc
二级目录用 10 位+随机字符串,就能避免暴力破解、路径穿越这些攻击行为了,实现方式也很简单,caddy ,nginx 反代就可以,麻烦的点就是有些服务对于子目录支持不太友好,不过我用的这几个服务都可以
原理就是二级目录在 https 整个交互过程中都是加密的,无论是抓包、爱快、ROS 、运营商都无法获取这个二级目录,除非证书劫持
以下可访问,这个 aaa,bbb,ccc 就是我自定义的二级目录
https://example.com/aaa
https://example.com/bbb
https://example.com/ccc
其它不存在的二级目录,直接 abort
https://example.com
https://example.com/a
https://example.com/abc
二级目录用 10 位+随机字符串,就能避免暴力破解、路径穿越这些攻击行为了,实现方式也很简单,caddy ,nginx 反代就可以,麻烦的点就是有些服务对于子目录支持不太友好,不过我用的这几个服务都可以
 | 1 ydhcui 1 天前  1 没啥用,古早时候也有设置管理后台的操作,现在都很少看到了。 另外 路径穿越是这个意思吗? |
 | 3 LnTrx 1 天前 如果只考虑浏览器访问的话,确实是一种办法。但路径中有一坨随机字符串还是不太优雅,或许可以考虑用 nginx 的认证。 |
 | 4 Cuhn1 1 天前 确实,俺也一样。 https 很关键,反向代理+二级目录访问。基本可以抵挡绝大多数大访问的盲目扫描及攻击。 |
 | 5 YGBlvcAK OP @LnTrx 其实不需要一坨,随便搞个单词就可以了,99%都是盲扫一下就放弃的,剩下的 1%只会攻击更高价值的 就是不想加验证再登录一次,太麻烦了,还有再加一层验证 openlist 的 webdav 就更没法挂载了 |
| 6 YGBlvcAK OP 要是加验证就干脆 vpn 回家了 我这个配置要的就是那种让你随便扫,但你什么也扫不出来的爽感 |
 | 7 hackroad 16 小时 7 分钟前 你还是太嫩了 |
| 8 hackroad 16 小时 1 分钟前 楼主的意思打个比方意思就是 我的服务目录就是在/tmp/目录下,只要我在这个目录下,我就是安全的。 1: 半点不提你是服务运行的组建会不会产生漏洞 2: 半点不提你的服务有没使用三方开源组建是否存在漏洞 3: 半点不提你的服务器是否存在本身的隐患导致有入侵风险 4:服务路径和 https 有什么关联性? 5: 路径穿越真的是代码逻辑造成的,还是环境造成的? 6: 二级目录用 10 位+随机字符串,就能避免暴力破解、路径穿越这些攻击行为了(拿到权限,你所做的一切都是透明的,如果你理解拿到权限这个意思。) |
 | 10 FrankAdler 9 小时 38 分钟前 via Android 路径穿越用的是../../你随机目录防不住,至于放扫,你不是特定类型的系统没人扫你 |
| 11 YGBlvcAK OP @FrankAdler 就不能先用 AI 了解一下吗?路径穿越是服务的问题,不知道随机字符访问不到服务怎么穿越?凭个 443 端口就能穿越吗? |
 | 12 einskai 8 小时 32 分钟前 @FrankAdler OP 主的意思是,先不管后面的路径是什么,能不能穿透。首先你第一级的 path 必须是要指定字符串才能进来,相当于变相的加密码。 |
 | 13 thereone 5 小时 24 分钟前 早就在用了,不过有些写死了页面路径的要从 location / 根目录获取页面的就用不了,这种我是用来做备用的。主用还是标准的子域名和 WAF 还有 IP 白名单用户认证来做的。 |
Select Language